Wymagania dotyczące inspekcji — program zaufanego certyfikatu głównego firmy MicrosoftAudit Requirements - Microsoft Trusted Root Certificate Program

Ta strona określa wymagania dotyczące urzędów certyfikacji (CA), którzy uczestniczą w programie zaufanego certyfikatu głównego firmy Microsoft ( " program " ) wraz z wymaganiami dotyczącymi używania poszczególnych rozszerzeń EKU, które są obecnie obsługiwane przez firmę Microsoft w ramach programu zaufanego certyfikatu głównego firmy Microsoft.This page sets out the requirements for Certification Authorities (CAs) who participate in the Microsoft Trusted Root Certificate Program ("Program") along with the requirements to use each of the EKUs that Microsoft currently supports as part of the Microsoft Trusted Root Certificate Program.

Poniżej znajdziesz wymagania zarówno dla komercyjnych urzędów certyfikacji, jak i urzędów certyfikacji instytucji rządowych, a także informacje o tym, co stanowi urząd certyfikacji instytucji rządowych.Below you will find the requirements for both Commercial CAs and Government CAs along with information about what constitutes a Government CA. (Zobacz " Definicje " , poniżej).(See "Definitions", below). Ponadto znajdziesz informacje o tym, jak zmieniają się wymagania dotyczące urzędów certyfikacji dla instytucji rządowych.Additionally, you will find information about how the requirements are changing for Government CAs.

Uwaga

Oznacz Tę stronę zakładką: https://aka.ms/auditreqsBookmark this page: https://aka.ms/auditreqs


Wymagania ogólneGeneral Requirements

Firma Microsoft wymaga, aby każdy urząd certyfikacji przesyłał dowód kwalifikującej się inspekcji na podstawie rocznej urzędu certyfikacji oraz dowolnego nieograniczonego katalogu głównego w łańcuchu infrastruktury kluczy publicznych.Microsoft requires that every CA submit evidence of a Qualifying Audit on an annual basis for the CA and any non-limited root within its PKI chain. Inspekcja kwalifikująca musi spełniać następujące pięć głównych wymagań:A Qualifying Audit must meet the following five main requirements:

  1. Audytor musi być kwalifikowany,the auditor must be qualified,
  2. Inspekcja musi być przeprowadzana przy użyciu prawidłowego zakresu,the audit must be performed using the proper scope,
  3. Inspekcja musi być przeprowadzana przy użyciu właściwej normy ithe audit must be performed using the proper standard, and
  4. należy przeprowadzić inspekcję, a w odpowiednim okresie musi zostać wystawiony list zaświadczania ithe audit must be performed and the attestation letter must be issued within the proper time period, and
  5. Audytor musi zakończyć i przesłać zaświadczanie kwalifikujące się.the auditor must complete and submit a Qualifying Attestation.

Urząd certyfikacji jest odpowiedzialny za zapewnienie firmie Microsoft kwalifikacji uprawniającej do wyników inspekcji, a także zgodności z wymaganiami dotyczącymi inspekcji w odpowiednim czasie.It is the responsibility of the CA to provide Microsoft with a Qualifying Attestation to the results of the audit as well as conformance to the Audit Requirements in a timely manner.

A.A. Kwalifikacje audytoraThe Auditor's Qualifications

Firma Microsoft uważa, że audytor jest wykwalifikowanym audytorem, jeśli s/jest osobą niezależną lub spółką certyfikowaną do przeprowadzania inspekcji urzędu certyfikacji przez jeden z tych trzech urzędów: (1) WebTrust, (2) Urząd uwierzytelniania jednokrotnego (opublikowany w systemie https://aka.ms/ena ) lub, (3) w przypadku urzędu certyfikacji rządowej.Microsoft considers an auditor to be a Qualified Auditor if s/he is an independent individual or company that is certified to perform certification authority audits by one of these three authorities: (1) WebTrust, (2) an ETSI Equivalent National Authority (published at https://aka.ms/ena) or, (3) in the case of a Government CA, the government itself. (Aby uzyskać więcej informacji na temat urzędów certyfikacji instytucji rządowych, zobacz " Wymagania dotyczące urzędów certyfikacji instytucji rządowych " .(For more information on Government CAs, see "Government CA Requirements" below.)

Jeśli urząd certyfikacji zdecyduje się uzyskać kontrolę zaufania WebTrust, firma Microsoft wymaga, aby Urząd certyfikacji zachował audytor licencjonowany przez WebTrust w celu przeprowadzenia inspekcji.If a CA chooses to obtain a WebTrust audit, Microsoft requires the CA to retain a WebTrust licensed auditor to perform the audit. Pełna lista audytorów z licencją webtrustem jest dostępna pod adresem https://aka.ms/webtrustauditors .The full list of WebTrust-licensed auditors is available at https://aka.ms/webtrustauditors. Jeśli urząd certyfikacji zdecyduje się uzyskać inspekcję opartą na protokole ETSI, firma Microsoft wymaga od urzędu certyfikacji zachowania autoryzowanego podmiotu przez równoważny urząd krajowy (lub " ENAs " ).If a CA chooses to obtain an ETSI-based audit, Microsoft requires the CA to retain an authorized entity by an Equivalent National Authority (or "ENAs"). Katalog akceptowalnych ENAs jest oparty na liście pod adresem https://aka.ms/ena .A catalogue of acceptable ENAs is based on the list at https://aka.ms/ena. Jeśli urząd certyfikacji jest eksploatowany w kraju, który nie ma równorzędnego urzędu władzy ETSI, firma Microsoft zaakceptuje inspekcję przeprowadzonej przez audytora, który jest kwalifikowany w ramach równoważnego organu krajowego w ' kraju pochodzenia audytorów.If a CA is operated in a country that does not have an ETSI Equivalent National Authority, Microsoft will accept an audit performed by an auditor that is qualified under an Equivalent National Authority in the auditor's home country.

B.B. Zakres inspekcjiThe Scope of the Audit

Zakres inspekcji musi obejmować wszystkie elementy główne, nieograniczone katalogi podrzędne i niezarejestrowane certyfikaty niepodpisane z podpisem własnym, w obszarze głównym, z wyjątkiem katalogów podrzędnych, które są ograniczone do zweryfikowanej domeny.The scope of the audit must include all roots, non-limited sub-roots, and cross-signed non-enrolled roots, under the root, except for sub-roots that are limited to a verified domain. Inspekcja musi także udokumentować pełną hierarchię PKI.The audit must also document the full PKI hierarchy. Końcowe instrukcje inspekcji muszą znajdować się w ogólnodostępnej lokalizacji i muszą zawierać datę początkową i końcową okresu inspekcji.The final audit statements must be in a publicly-accessible location and must contain the start and end dates of the audit period. W przypadku inspekcji webtrusta plomby zaufania WebTrust muszą również znajdować się w publicznie dostępnej lokalizacji.In the case of a WebTrust audit, WebTrust seal(s) must also be in a publicly-accessible location.

C.C. Oceny gotowości do punktu w czasiePoint-in-Time Readiness Assessments

Firma Microsoft wymaga inspekcji przed rozpoczęciem operacji komercyjnych.Microsoft requires an audit prior to commencing commercial operations. W przypadku komercyjnych urzędów certyfikacji, które nie działały jako wystawca certyfikatów przez 90 dni lub więcej, firma Microsoft zaakceptuje inspekcję gotowości do momentu przeprowadzonej przez wykwalifikowany biegły rewident.For commercial CAs that have not been operational as an issuer of certificates for 90 days or more, Microsoft will accept a point-in-time readiness audit conducted by a Qualified Auditor. Jeśli urząd certyfikacji używa inspekcji gotowości do punktu w czasie, firma Microsoft wymaga inspekcji uzupełniającej w ciągu 90 dni od momentu wydania pierwszego certyfikatu przez urząd certyfikacji.If the CA uses a point-in-time readiness audit, Microsoft requires a follow-up audit within 90 days after the CA issues its first certificate. Komercyjny urząd certyfikacji, który jest już w naszym programie, mający zastosowanie do nowego katalogu głównego, który ma zostać uwzględniony, jest wykluczony z wymaganego punktu w czasie i inspekcji dla nowych katalogów głównych.A commercial CA already in our program applying for a new root to be included is exempt from the point-in-time and period-in-time audit requirement for the new roots. Zamiast tego powinny one być aktualne na potrzeby inspekcji dla istniejących katalogów głównych w programie.Rather, they should be up to date on audits for their existing roots in the program.

D.D. Okres między oceną a zaświadczeniem audytoraThe Time Period Between the Assessment and the Auditor's Attestation

Firma Microsoft wymaga, aby Urząd certyfikacji uzyskał okresowe inspekcje.Microsoft requires that the CA obtain a conforming audit annually. Aby upewnić się, że firma Microsoft zawiera informacje, które dokładnie odzwierciedlają bieżące praktyki biznesowe urzędu certyfikacji, należy podać datę zaświadczania pochodzącą z inspekcji, a następnie odebrać ją przez firmę Microsoft nie później niż 3 miesiące od daty końcowej określonej w poświadczeniu.To ensure that Microsoft has information that accurately reflects the current business practices of the CA, the attestation letter arising from the audit must be dated and received by Microsoft not more than 3 months from the ending date specified in the attestation letter.

E.E. Inspekcja zaświadczaniaAudit Attestation

Firma Microsoft wymaga, aby każdy biegły został ukończony i przesłany do zaświadczania uprawniającego do firmy Microsoft.Microsoft requires that each auditor complete and submit to Microsoft a Qualifying Attestation. Zaświadczanie uprawniające wymaga, aby audytor zakończył kwalifikującą się literę zaświadczania.A Qualifying Attestation requires that the auditor completes a Qualifying Attestation Letter.

Firma Microsoft używa narzędzia do automatycznego analizowania list inspekcyjnych w celu sprawdzenia dokładności list zaświadczeń kwalifikujących się.Microsoft uses a tool to automatically parse audit letters to validate the accuracy of the Qualifying Attestation Letter. To narzędzie znajduje się w bazie danych wspólnych urzędów certyfikacji (CCADB).This tool is found in the Common Certification Authority Database (CCADB). Skontaktuj się z audytorem, aby upewnić się, że uprawniający list zaświadczania spełnia poniższe wymagania.Please work with your auditor to make sure the Qualifying Attestation Letter fulfills the following requirements. Jeśli list inspekcji nie powiedzie się w żadnej z tych kategorii, wiadomość e-mail zostanie wysłana z powrotem do urzędu certyfikacji z prośbą o zaktualizowanie ich list inspekcji.If the audit letter fails in any of these categories, a mail will be sent back to the CA asking them to update their audit letter.

WSZYSTKIE URZĘDY CERTYFIKACJIALL CAS

  1. Należy napisać list inspekcji w języku angielskimAudit letter must be written in English
  2. List inspekcji musi być w formacie PDF "tekst do przeszukiwania".Audit letter must be in a "Text Searchable" PDF format.
  3. List inspekcji musi mieć nazwę audytora na liście inspekcji jako zapisaną w CCADB.Audit letter must have the auditor's name in the audit letter as recorded in CCADB.
  4. List inspekcji musi być listą odcisków palca SHA1 lub odcisku palca SHA256 poddawanych inspekcji.Audit letter must list either SHA1 thumbprint or SHA256 thumbprint of audited roots.
  5. List inspekcji musi wyświetlać datę zapisania list inspekcji.Audit letter must list the date the audit letter was written.
  6. List inspekcji musi określać datę początkową i końcową okresu, który został poddany inspekcji.Audit letter must state the start and end dates of the period that was audited. Należy pamiętać, że nie jest to okres, w którym audytor był w lokacji.Please note that this is not the period the auditor was on-site.
  7. List inspekcji musi zawierać pełną nazwę urzędu certyfikacji zapisanego w CCADB.The audit letter must include the full name of the CA as recorded in CCADB.
  8. List inspekcji musi określać standardy inspekcji, które były używane podczas inspekcji.Audit letter must list the audit standards that were used during the audit. Należy odwołać się do wytycznych dla WebTrust/ETSI lub https://aka.ms/auditreqs wyświetlić pełną nazwę i wersję standardów inspekcji, do których istnieje odwołanie.Please reference WebTrust/ETSI guidelines or https://aka.ms/auditreqs and list the full name and version of the audit standards referenced.

Urzędy certyfikacji przesyłające audyty WebTrustCAs submitting Webtrust audits

  1. Inspekcje przeprowadzane przez certyfikowanych audytorów WebTrust muszą mieć przekazane listy kontroli https://cert.webtrust.org .Audits conducted by certified WebTrust auditors must have their audit letters uploaded to https://cert.webtrust.org.

Urzędy certyfikacji przesyłające inspekcje ETSICAs submitting ETSI audits

  1. Inspekcje przeprowadzane przez certyfikowanych audytorów ETSI powinny zostać przekazane do witryny sieci Web audytorów.Audits conducted by certified ETSI auditors should have their audit letters uploaded to their auditor's website. Jeśli audytor nie opublikuje w swojej witrynie sieci Web, urząd certyfikacji musi podać nazwę i adres e-mail audytora podczas przesyłania list inspekcji.If the auditor does not post on their website, the CA must provide the name and email of the auditor when submitting the audit letter. Przedstawiciel firmy Microsoft skontaktuje się z audytorem w celu zweryfikowania autentyczności.A Microsoft representative will reach out to the auditor to verify the authenticity of the letter.
  2. Urzędy certyfikacji mogą przesyłać inspekcje w ramach zasad EN 319 411-2 lub 411-2.CAs may submit audits with either the EN 319 411-2 or 411-2 policy.

F.F. Inspekcja — przesyłanieAudit Submission

Aby przesłać roczne inspekcje, zapoznaj się z instrukcjami CCADB dotyczącymi sposobu tworzenia przypadku inspekcji znalezionych tutaj: https://ccadb.org/cas/updates .To submit annual audits, please refer to the CCADB instructions on how to create an audit case found here: https://ccadb.org/cas/updates.

Jeśli urząd certyfikacji jest stosowany do magazynu głównego i nie znajduje się w CCADB, powinien wysłać wiadomość e-mail z poświadczeniami inspekcji do msroot @ Microsoft.com.If the CA is applying into the Root Store and is not in the CCADB, they should email their audit attestation to msroot@microsoft.com.


Standardy inspekcji konwencjonalnych urzędów certyfikacjiConventional CA Audit Standards

Program akceptuje dwa typy standardów inspekcji: WebTrust i ETSI.The Program accepts two types of audit standards: WebTrust and ETSI. Dla każdego rozszerzeń EKU po lewej stronie firma Microsoft wymaga inspekcji, która jest zgodna ze standardem oznaczonym przez.For each of the EKUs on the left, Microsoft requires an audit that conforms to the standard marked.

A.A. Inspekcje WebTrustWebTrust Audits

Firma Microsoft będzie teraz wymagała zasad i kryteriów usług zaufania WebTrust dla urzędów certyfikacji--podpisywanie kodu dla każdej instrukcji inspekcji z okresami rozpoczynającymi się dnia lub po 1 stycznia 2018.Microsoft will now be requiring the WebTrust Trust Services Principles and Criteria for Certification Authorities -- Code Signing for any audit statements with periods commencing on or after January 1, 2018. Ta wartość będzie wymagana dla dowolnego urzędu certyfikacji, który ma włączone rozszerzenie EKU podpisywania kodu dla swoich katalogów głównych.This will be required for any CA that has the code signing EKU enabled for their roots. Jeśli urząd certyfikacji ma włączone rozszerzenie EKU podpisywania kodu w katalogu głównym, ale nie może aktywnie wystawiać certyfikatów podpisywania kodu, mogą dotrzeć do msroot @ Microsoft.com w celu ustawienia stanu EKU "NotBefore".If a CA has the code signing EKU enabled on a root but is not actively issuing code signing certificates, they may reach out the msroot@microsoft.com to have the EKU status set to "NotBefore."

WebTrust dla urzędu certyfikacji v 2.1WebTrust for CA v2.1 Linia bazowa protokołu SSL z zabezpieczeniami sieci v 2.3SSL Baseline with Network Security v2.3 Rozszerzona weryfikacja SSL v 1.6.2Extended Validation SSL v1.6.2 Podpisywanie kodu rozszerzonej weryfikacji v 1.4.1Extended Validation Code Signing v1.4.1 Publicznie zaufane certyfikaty podpisywania kodu v 1.0.1Publicly Trusted Code Signing Certificates v1.0.1
Uwierzytelnianie serwera (bez sprawdzania poprawności)Server Authentication (Non-EV) XX XX
Uwierzytelnianie serwera (bez sprawdzania poprawności) i tylko uwierzytelnianie klientaServer Authentication (non-EV) and Client Authentication only XX XX
Uwierzytelnianie serwera (EV)Server Authentication (EV) XX XX XX
Uwierzytelnianie serwera (EV) i tylko uwierzytelnianie klientaServer Authentication (EV) and Client Authentication only XX XX XX
Podpisywanie kodu EVEV Code Signing XX XX
Podpisywanie i sygnatura czasowa kodu bez sprawdzania poprawnościNon-EV Code Signing and Time stamping XX XX
Zabezpieczone wiadomości E-mail (S/MIME)Secured Email (S/MIME) XX
Uwierzytelnianie klienta (bez uwierzytelniania serwera)Client Authentication (without Server Authentication) XX
Podpisywanie dokumentówDocument Signing XX

B.B. Inspekcje ETSI-BasedETSI-Based Audits

Uwaga 1. Jeśli urząd certyfikacji używa audytu opartego na protokole ETSI, musi przeprowadzić pełną inspekcję corocznie, a firma Microsoft nie akceptuje inspekcji nadzoru.Note 1: If a CA uses an ETSI-based audit, it must perform a full audit annually, and Microsoft will not accept surveillance audits. Uwaga 2: wszystkie sprawozdania ETSI inspekcje muszą być poddane inspekcji na wymagania dotyczące forum urzędu certyfikacji/przeglądarki, a zgodność z tymi wymaganiami musi być określona w liście inspekcyjnej.Note 2: All ETSI audits statements must be audited against the CA/Browser Forum requirements and compliance to these requirements must be stated in the audit letter. ACAB'c [ https://acab-c.com ] podano wskazówki, które spełniają wymagania firmy Microsoft.The ACAB'c [https://acab-c.com] has provided guidance that meets the Microsoft requirements.

EN 319 411-1: zasady DVCP, OVCP lub PTC-BREN 319 411-1: DVCP, OVCP or PTC-BR policies EN 319 411-1: zasady EVCPEN 319 411-1: EVCP policy EN 319 411-2: zasady QCPymi (w oparciu o EN 319 411-1, EVCP)EN 319 411-2: QCP-w policy (based on EN 319 411-1, EVCP) EN 319 411-1: LCP, NCP, NCP + zasadyEN 319 411-1: LCP, NCP, NCP+ policies EN 319 411-2: QCP-n, QCP-n-qscd, QCP-l, QCP-l-qscd (w oparciu o EN 319 411-1, NCP/NCP +)EN 319 411-2: QCP-n, QCP-n-qscd, QCP-l, QCP-l-qscd policies (based on EN 319 411-1, NCP/NCP+)
Uwierzytelnianie serwera (bez sprawdzania poprawności)Server Authentication (Non-EV) XX
Uwierzytelnianie serwera (bez sprawdzania poprawności) i tylko uwierzytelnianie klientaServer Authentication (non-EV) and Client Authentication only XX
Uwierzytelnianie serwera (EV)Server Authentication (EV) XX
Uwierzytelnianie serwera (EV) i tylko uwierzytelnianie klientaServer Authentication (EV) and Client Authentication only XX XX
Podpisywanie kodu EVEV Code Signing XX XX
Podpisywanie i sygnatura czasowa kodu bez sprawdzania poprawnościNon-EV Code Signing and Time stamping XX XX
Zabezpieczone wiadomości E-mail (S/MIME)Secured Email (S/MIME) XX XX
Uwierzytelnianie klienta (bez uwierzytelniania serwera)Client Authentication (without Server Authentication) XX XX
Podpisywanie dokumentówDocument Signing XX XX

Wymagania urzędu certyfikacji dla instytucji rządowychGovernment CA Requirements

Urzędy certyfikacji instytucji rządowych mogą zdecydować się na uzyskanie powyższych lub przeprowadzenia audytów opartych na protokole ETSI lub w celu użycia równoważnej inspekcji.Government CAs may choose to either obtain the above WebTrust or ETSI-based audit(s) required of Commercial CAs, or to use an Equivalent Audit. Jeśli urząd certyfikacji instytucji rządowych zdecyduje się uzyskać inspekcję sieci WebTrust lub oparty na protokole ETSI, firma Microsoft traktuje urząd certyfikacji dla instytucji rządowych jako komercyjny urząd certyfikacji.If a Government CA chooses to obtain a WebTrust or ETSI-based audit, Microsoft will treat the Government CA as a Commercial CA. Urząd certyfikacji rządu może następnie działać bez ograniczania wystawianych przez niego certyfikatów.The Government CA can then operate without limiting the certificates it issues.

A.A. Równoważne ograniczenia inspekcjiEquivalent Audit Restrictions

Jeśli urząd certyfikacji instytucji rządowych zdecyduje się nie używać inspekcji sieci WebTrust lub ETSI, może uzyskać równoważne inspekcje.If the Government CA chooses not to use a WebTrust or ETSI audit, it may obtain an Equivalent Audit. W równoważnej inspekcji ( " EA " ) urząd certyfikacji rządowej wybiera podmiot trzeci do przeprowadzenia inspekcji.In an Equivalent Audit ("EA"), the Government CA selects a third party to perform an audit. Inspekcja ma dwa cele: (1), aby wykazać, że urząd certyfikacji instytucji rządowych jest zgodny z lokalnymi przepisami i przepisami dotyczącymi działania urzędu certyfikacji oraz (2), aby wykazać, że inspekcja zasadniczo jest zgodna z odpowiednimi standardami webtrustem lub ETSI.The audit has two purposes: (1) to demonstrate that the Government CA complies with local laws and regulations related to certificate authority operation, and (2) to demonstrate that the audit substantially complies with the relevant WebTrust or ETSI standard.

Jeśli urząd certyfikacji instytucji rządowych zdecyduje się uzyskać umowę EA, firma Microsoft ograniczy zakres certyfikatów, które może wydać urząd certyfikacji dla instytucji rządowych.If a Government CA chooses to obtain an EA, Microsoft will limit the scope of certificates that the Government CA may issue. Urzędy certyfikacji instytucji rządowych, które wystawiają certyfikaty uwierzytelniania serwera, muszą ograniczyć katalog główny do domen kontrolowanych przez rząd.Government CAs that issue server authentication certificates must limit the root to government-controlled domains. Rządy muszą ograniczyć wystawianie innych certyfikatów do ISO3166 krajów, w których kraj ma suwerenną kontrolę.Governments must limit the issuance of any other certificates to ISO3166 country codes that the country has sovereign control over.

Urzędy certyfikacji dla instytucji rządowych muszą również akceptować i stosować odpowiednie wymagania dotyczące poziomu bazowego forum dla urzędów certyfikacji na podstawie typu certyfikatów, których dotyczy problem.Government CAs must also accept and adopt the appropriate, CAB forum baseline requirements for CAs based on the type of certificates the root issues. Jednak wymagania programu i wymagania dotyczące inspekcji zastępują te wymagania w dowolnym aspekcie, w którym są one sprzeczne.However, the Program Requirements and Audit Requirements supersede those requirements in any aspect in which they are in conflict.

Wszystkie urzędy certyfikacji rządowe wprowadzane do programu podlegają powyższym wymaganiom umowy EA.All Government CAs entering the Program will be subject to the above EA requirements. Wszystkie urzędy certyfikacji instytucji rządowych, które są częścią programu wcześniejszą niż 1 czerwca 2015 będą podlegać powyższym wymaganiom umowy EA bezpośrednio po wygaśnięciu ich bieżących inspekcji.All Government CAs that are part of the Program prior to June 1, 2015 will be subject to the above EA requirements immediately upon expiration of their then-current audit.

B.B. Zawartość równoważnego raportu inspekcjiContent of the Equivalent Audit Report

Firma Microsoft wymaga od wszystkich urzędów certyfikacji instytucji rządowych, którzy przesyłają umowę EA w celu dostarczenia listu zaświadczania od audytora:Microsoft requires all Government CAs that submit an EA to provide an attestation letter from the auditor that:

  1. Zaświadcza, że inspekcja jest wystawiana przez niezależną agencję, która jest upoważniona przez rząd urzędu certyfikacji rządowej w ' celu przeprowadzenia inspekcji;Attests that the audit is issued by an independent agency which is authorized by the Government CA's government to conduct the audit;
  2. Wyświetla listę kryteriów rządowych urzędów certyfikacji dla instytucji rządowych w ' ' przypadku kwalifikacji audytora i zaświadcza, że audytor spełnia te kryteria;Lists the Government CA's government's criteria for auditor qualification, and certifies that the auditor meets this criteria;
  3. Zawiera listę konkretnych statutów, zasad i/lub rozporządzeń, które audytor ocenił operacje urzędu certyfikacji dla instytucji rządowych ' ;Lists the particular statutes, rules, and/or regulations that the auditor assessed the Government CA's operations against;
  4. Poświadcza zgodność rządu urzędu certyfikacji ' z wymaganiami przedstawionymi w statutowym statucie, regułach i/lub przepisach;Certifies the Government CA's compliance with the requirements outlined in the named governing statutes, rules, and/or regulations;
  5. Zawiera informacje opisujące, jak wymagania statutu ' są równoważne z odpowiednimi audytami WebTrust lub ETSI;Provides information that describes how the statute's requirements are equivalent to the appropriate WebTrust or ETSI audit(s) ;
  6. Wyświetla listę urzędów certyfikacji i stron trzecich autoryzowanych przez urząd certyfikacji instytucji rządowych do wystawiania certyfikatów w urzędzie certyfikacji rządowej ' w łańcuchu certyfikatów;Lists Certificate Authorities and third parties authorized by the Government CA to issue certificates on the Government CA's behalf within a certificate chain;
  7. Dokumentuje pełną hierarchię PKI; lubDocuments the full PKI hierarchy; and
  8. Zawiera datę początkową i końcową okresu inspekcji.Provides the start and end date of the audit period.

DefinicjeDefinitions

Urząd certyfikacji instytucji rządowychGovernment CA

"Urząd certyfikacji rządu" jest jednostką, która podpisuje umowę programu rządowego.A "Government CA" is an entity that signs the Government Program Agreement.

Komercyjny urząd certyfikacjiCommercial CA

"Komercyjny urząd certyfikacji" jest jednostką, która podpisuje umowę programu komercyjnego.A "Commercial CA" is an entity that signs the Commercial Program Agreement.

Urząd certyfikacjiCertification Authority

"Urząd certyfikacji " lub " urząd certyfikacji " oznacza jednostkę, która wystawia certyfikaty cyfrowe zgodnie z obowiązującymi przepisami i przepisami lokalnymi."Certification Authority" or "CA" means an entity that issues digital certificates in accordance with Local Laws and Regulations.

Prawa i regulacje lokalneLocal Laws and Regulations

"Prawa i regulacje lokalne " oznaczają przepisy i regulacje stosowane do urzędu certyfikacji, w ramach którego urząd certyfikacji jest autoryzowany do wystawiania certyfikatów cyfrowych, które zostały określone przez zasady, reguły i standardy dotyczące wystawiania, utrzymywania lub odwoływania certyfikatów, w tym częstotliwości i procedur inspekcji."Local Laws and Regulations" means the laws and regulations applicable to a CA under which the CA is authorized to issue digital certificates, which set forth the applicable policies, rules, and standards for issuing, maintaining, or revoking certificates, including audit frequency and procedure.